Modifié

Vers une obligation d'annoncer les cyberattaques pour les entreprises sensibles

Photo prise lors d'un concours de hacking à Genève. [Keystone - Salvatore Di Nolfi]
Les cyberattaques devront être signalées à la Confédération / La Matinale / 1 min. / le 13 janvier 2022
Les entreprises victimes de cyberattaques seront désormais obligées de l'annoncer auprès du Centre national pour la cybersécurité. Cette obligation devrait toutefois être limitée aux infrastructures critiques.

Le Conseil fédéral concrétise ainsi un projet qui était dans l'air depuis des années. Il a mis mercredi en consultation une révision de la loi sur la sécurité de l'information. Les milieux concernés ont jusqu'au 14 avril pour donner leurs avis.

Selon ce projet, l'obligation doit s’appliquer aux "infrastructures critiques", c'est-à-dire les banques, les assurances, hôpitaux ou laboratoires, mais aussi les services postaux, les transports publics ou encore d'autres entreprises spécialisées, comme les services informatiques.

Un système plus fiable

Si ces sociétés se font attaquer par des hackers et que cette attaque met en péril leur fonctionnement, ou qu'il s’agit de chantage ou de menace, elles devront alerter "le plus rapidement possible" le Centre national pour la cybersécurité.

Jusqu'ici, ces annonces se faisaient sur une base volontaire. Mais certaines entreprises ne jouaient pas le jeu et préféraient taire leurs failles de sécurité. Dorénavant, le gouvernement veut un système plus fiable pour avoir une vue d’ensemble plus complète.

>> Lire également : Vaud mis sous pression pour qu'il lutte davantage contre les cyberattaques

En outre, le Conseil fédéral promet une procédure très simple via un formulaire électronique, ainsi qu'une aide de premier secours de la part du Centre pour la cybersécurité. La mesure est donc saluée par l'association faîtière des entreprises Economiesuisse.

Capacité d'anticipation

"Le nombre de cyberattaques augmente de manière très importante aussi en Suisse, et ça menace toutes les entreprises, quelle que soit leur taille. Il faut être prêt à anticiper ces cyberattaques", souligne sa directrice romande Cristina Gaggini.

>> L'interview de Cristina Gaggini dans La Matinale :

Cristina Gaggini, directrice romande d'Economiesuisse. [Keystone - Magali Girardin]Keystone - Magali Girardin
Les cyberattaques devront être signalées à la Confédération / Interview de Cristina Gaggini / La Matinale / 1 min. / le 13 janvier 2022

De cette manière, si les autorités fédérales sont mises au courant d'une vague d'attaques, elles pourront informer d'autres sociétés qui pourraient en être victimes, explique-t-elle.

Mais pour Solange Ghernaouti, experte en cybersécurité et enseignante à l'Université de Lausanne, cette obligation devrait s'étendre à toutes les entreprises, y compris les PME, et non se restreindre aux infrastructures critiques.

Car actuellement, elle estime que seuls 20% des problèmes sont annoncés. "On n'a aucune idée de la réalité de ce qu'il se passe", prévient-elle. "C'est hyper important de savoir comment les entreprises sont affectées", poursuit-elle, afin de mieux évaluer cette réalité qui touche le tissu économique.

>> L'interview de Solange Ghernaouti :

Solange Ghernaouti, spécialiste de la sécurité informatique est notre invitée
Les cyberattaques devront être signalées à la Confédération / Interview Solange Ghernaouti V.2 / La Matinale / 56 sec. / le 13 janvier 2022

Enfin, selon le projet actuel, les éventuels réfractaires se verraient menacés d'une amende maximale de 100'000 francs.

Sandrine Hochstrasser/jop

Publié Modifié